Лабораторная работа № 7

Управление журналами событий в системе

Сергеев Д. О.

Российский университет дружбы народов, Москва, Россия

18 октября 2025

Информация

Докладчик

  • Сергеев Даниил Олегович
  • Студент
  • Направление: Прикладная информатика
  • Российский университет дружбы народов
  • 1132246837@pfur.ru

Цель работы

Получить навыки работы с журналами мониторинга различных событий в системе.

Задание

  • Продемонстрируйте навыки работы с журналом мониторинга событий в реальном времени.
  • Продемонстрируйте навыки создания и настройки отдельного файла конфигурации мониторинга отслеживания событий веб-службы.
  • Продемонстрируйте навыки работы с journalctl.
  • Продемонстрируйте навыки работы с journald.

Ход выполнения лабораторной работы

Мониторинг журнала системных событий в реальном времени

Мониторинг журнала системных событий в реальном времени

  • tail -f /var/log/messages
  • logger hello
Мониторинг системных событий в реальном времени

Мониторинг журнала системных событий в реальном времени

  • tail -n 20 /var/log/secure
Вывод логов /var/log/secure

Изменение правил rsyslog.conf

Изменение правил rsyslog.conf

В первой вкладке терминала установим Apache (пакет httpd). После окончания процесса установки запустим службу командами systemctl start httpd и systemctl enable httpd

Запуск службы httpd

Изменение правил rsyslog.conf

Журнал ошибок httpd

Изменение правил rsyslog.conf

  • ErrorLog syslog:local1.
Редактирование httpd.conf

Изменение правил rsyslog.conf

Теперь перейдем в каталог /etc/rsyslog.d и создадим файл мониторинга событий веб-службы.

Создание httpd.conf в /etc/rsyslog.d

Изменение правил rsyslog.conf

Пропишем в нем строку, которая позволит нам отправлять все сообщения, получаемые для local1, в файл /var/log/httpd-error.log

Модификация файла мониторинга httpd.conf

Изменение правил rsyslog.conf

Перейдем обратно в первый терминал и перезагрузим rsyslogd и httpd:

  • systemctl restart rsyslog.service
  • systemctl restart httpd

В третьей вкладке терминала создадим отдельный файл конфигурации для мониторинга отладочной информации.

Файл мониторинга отладочной информации

Изменение правил rsyslog.conf

  • logger -p daemon.debug “Daemon Debug Message”
Проверка мониторинга отладки rsyslog

Использование journalctl

Использование journalctl

  • Посмотрим содержимое журнала с событиями с момента последнего запуска системы: journalctl
Вывод journalctl

Использование journalctl

  • Посмотрим содержимое журнала без использования пейджера: journalctl –no-pager
Вывод journalctl –no-pager

Использование journalctl

  • Включим режим просмотра в реальном времени: journalctl -f
Вывод journalctl -f

Использование journalctl

  • Просмотрим события для UID0: journalctl _UID=0
Вывод journalctl _UID=0

Использование journalctl

  • Отобразим последние 20 строк журнала: journalctl -n 20
Вывод journalctl -n 20

Использование journalctl

  • Просмотрим только сообщения об ошибках: journalctl -p err
Вывод journalctl -p err

Использование journalctl

  • Отфильтруем вывод журнала по точному времени: journalctl –since “2025-10-18 18:28:00”
Вывод journalctl –since “2025-10-18 18:28:00”

Использование journalctl

  • Отфильтруем вывод журнала по относительному времени с выводом сообщений с ошибкой приоритета: journalctl –since yesterday -p err
Вывод journalctl –since yesterday -p err

Использование journalctl

  • Выведем детальную информацию: journalctl -o verbose
Вывод journalctl -o verbose

Использование journalctl

  • Просмотрим дополнительную информацию о службе, напрмер о sshd: journalctl _SYSTEMD_UNIT=sshd.service
Вывод journalctl _SYSTEMD_UNIT=sshd.service

Постоянный журнал journald

Постоянный журнал journald

Настройка прав для /var/log/journal

Постоянный журнал journald

Журнал systemd теперь стал постоянным. Посмотрим сообщения журнала с момента загрузки: journalctl -b.

Вывод сообщений журнала

Ответы на контрольные вопросы

Ответы на контрольные вопросы

  1. Какой файл используется для настройки rsyslogd?
  • /etc/rsyslog.conf
  1. В каком файле журнала rsyslogd содержатся сообщения, связанные с аутентификацией?
  • /var/log/secure

Ответы на контрольные вопросы

  1. Если вы ничего не настроите, то сколько времени потребуется для ротации файлов журналов?
  • По умолчанию в дистрибутиве Rocky Linux установлена утилита logrotate, которая автоматически ротирует журналы. Чтобы узнать период ротации, можно посмотреть файл /etc/logrotate.conf

Если вы ничего не настроите, то сколько времени потребуется для ротации файлов журналов?

  • Для ротации файлов журналов потребуется одна неделя (weekly)
Файл конфигурации logrotate

Ответы на контрольные вопросы

  1. Какую строку следует добавить в конфигурацию для записи всех сообщений с приоритетом info в файл /var/log/messages.info?
  • “*.info /var/log/messages.info”
  1. Какая команда позволяет вам видеть сообщения журнала в режиме реального времени?
  • tail -f <Журнал>
  1. Какая команда позволяет вам видеть все сообщения журнала, которые были написаны для PID 1 между 9:00 и 15:00?
  • journalctl _PID=1 –since=“09:00” –until “15:00”

Ответы на контрольные вопросы

  1. Какая команда позволяет вам видеть сообщения journald после последней перезагрузки системы?
  • journalctl -b(–boot)
  1. Какая процедура позволяет сделать журнал journald постоянным?
  • Создать директорию для хранения журналов: mkdir -p /var/log/journal

  • Настроить права директории: chown root:systemd-journal /var/log/journal; chmod 2775 /var/log/journal.

  • Перезапустить систему или службу: reboot или killall -USR1 systemd-journald

Вывод

В результате выполнения лабораторной работы я получил навыки работы с утилитой journalctl и мониторинга событий в системе Linux.